(1) 概要
JPCERT/CC は、2020年11月19日以降、Fortinet 社製 FortiOS の SSL VPN 機能の脆弱性の影響を受けるホストに関する情報が、フォーラムなどで公開されている状況を確認しています。当該情報は、FortiOS の既知の脆弱性 (CVE-2018-13379) の影響を受けるとみられるホストの一覧です。この一覧は、攻撃者が脆弱性を悪用可能であることを確認した上で作成したものとみられ、ホストの IP アドレスに加え、SSL VPN 接続を利用するユーザーアカウント名や平文のパスワードなどの情報が含まれているとのことです。
JPCERT/CC は、当該情報に日本の IP アドレスが含まれていることを確認し、連絡可能な対象組織へ、直接または関係組織を通じた情報提供を順次行っています。もし、当該製品を使用しており、脆弱性の影響を受けるバージョンおよび条件で稼働している場合は、公開されてしまった認証情報や脆弱性を悪用した攻撃の被害を受ける可能性があるため、以降に記載の対策や侵害有無確認などを実施することを推奨いたします。
(2) 脆弱性の詳細
FortiOS には、任意のファイル読み取りの脆弱性 (CVE-2018-13379) があります。脆弱性が悪用されると、遠隔の第三者が当該製品から任意のファイルを読み込む可能性があります。対象となるバージョンは次のとおりです。
〇 対象バージョン
- FortiOS 6.0.0 から 6.0.4 までのバージョン
- FortiOS 5.6.3 から 5.6.7 までのバージョン
- FortiOS 5.4.6 から 5.4.12 までのバージョン
※ SSL VPN サービスが有効な場合のみ影響を受けます (web-mode と tunnel-mode の両方とも対象)
本脆弱性は、2019年5月に公開されたもので、既に脆弱性を修正したバージョンが公開されています。また、回避策として SSL VPN サービスの無効化、脆弱性を悪用した攻撃の影響を緩和する方法として、SSL VPN ユーザーへの二要素認証の実装が推奨されています。
なお、同月には、同製品が影響を受ける他の深刻な脆弱性として、ユーザーのパスワードを変更可能となる脆弱性 (CVE-2018-13382) や、認証後に任意のコード実行などが可能となる恐れがある脆弱性 (CVE-2018-13383) が公開されています。また、脆弱性 (CVE-2018-13382) は、既に脆弱性を実証するコードが公開され、脆弱性 (CVE-2018-13383) は、脆弱性の詳細を解説する記事が既に公開されています。併せて対策を実施することが推奨されます。詳細は、Fortinet 社が提供する情報を確認してください。
(3) 想定される影響
攻撃者は、本脆弱性を悪用して、当該製品から SSL VPN 接続を行うユーザー名やパスワード等の情報を窃取した後、更なる攻撃を行う可能性があります。例えば、窃取した情報を元に、攻撃者が当該製品を経由して組織ネットワーク内に SSL VPN 接続して侵入し、結果として、ネットワーク内部からの機微な情報を窃取したり、ランサムウェアを用いた攻撃を行ったりする恐れがあります。
(4) 推奨対策および対応
当該製品を使用しており、脆弱性の影響を受けるバージョンおよび条件で稼働している場合は、次に挙げるような対策、影響を軽減するための対応、侵害有無の確認などを速やかに実施することを推奨いたします。既に脆弱性を悪用した攻撃の被害を受けてしまった場合、対策としてバージョンアップを実施しても、窃取された認証情報で SSL VPN 接続が行われる恐れがあるため、ユーザーアカウントのパスワード変更も実施する必要があります。
〇 対策
- 当該製品を脆弱性の影響を受けないバージョンにアップデートする
- SSL-VPN の認証に多要素認証を導入する
〇 対応
- 当該製品のユーザアカウントのパスワードを変更する
〇 侵害有無確認
- 当該製品のユーザアカウントに意図しないユーザがいないことを確認する
- 当該製品のユーザアカウントに紐づくメールアドレスが正しいことを確認する
- 当該製品のログから、正規の利用とは異なる認証試行がないか確認する
- 当該製品を経由してアクセス可能なシステムやネットワークにおける侵害有無を確認する
* 例1) VPN を経由して接続可能な端末で、バックドアやマルウエアの感染がないか確認する
* 例2) VPN を経由して接続可能な端末から横展開やデータ窃取試行がないか確認する
* 例3) ドメインコントローラの探索試行や侵害がないか確認する
なお、本脆弱性情報は 2019年5月に公開され、2019年8月頃に脆弱性の詳細に関する情報が公開された後、探索行為や悪用が始まっています。2019年8月以降にバージョンアップ対応を行った場合は、対応前に脆弱性を悪用され、情報が窃取されている恐れがあるため、既に対応済みでも、アカウントのパスワード変更を実施することが推奨されます。
(5) 参考リンク
Fortinet
FortiOS system file leak through SSL VPN via specially crafted HTTP resource requests
https://fortiguard.com/psirt/FG-IR-18-384
Fortinet
FortiOS and SSL Vulnerabilities
https://www.fortinet.com/blog/business-and-technology/fortios-ssl-vulnerability
BleepingComputer
Hacker posts exploits for over 49,000 vulnerable Fortinet VPNs
https://www.bleepingcomputer.com/news/security/hacker-posts-exploits-for-over-49-000-vulnerable-fortinet-vpns/
JPCERT/CC
複数の SSL VPN 製品の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190033.html
CyberNewsFlash は、注意喚起とは異なり、発行時点では注意喚起の基準に満たない脆弱性の情報やセキュリティアップデート予告なども含まれます。今回の件を含め、提供いただける情報がありましたら、JPCERT/CCまでご連絡ください。
改訂履歴
2020-11-27 初版
2020-11-27 (1) 概要 の一部記載を修正
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email: ew-info@jpcert.or.jp